Методы и средства защиты информации
Комплексная оценка показывает критичность /-го ресурса во всей системе обеспечения информационной безопасности (ОИБ) организации, а также общий уровень защищенности ресурса. Такая методика оценки ресурса в системе ОИБ позволяет добавлять и оценивать любой ресурс. Кроме того, каждая графа в таблице характеризует некоторый параметр, существенный с точки зрения ОИБ организации. Так, например, графа А8к характеризует критичность ресурса по
такому аспекту ИБ, как нарушение конфиденциальности. Если уровень критичности /-го ресурса по конфиденциальности высокий, то необходимо предусмотреть мероприятия по защите ресурса от раскрытия, ознакомления [3, 4].
Таким образом, помимо комплексной оценки ресурса, отражающей критичность ресурса во всей системе ОИБ и уязвимость ресурса, данные в ячейках таблицы являются параметрами, на основании которых строятся правила сопоставления каждому ресурсу
множества связанных с ним угроз и вариантов мероприятий по ОИБ.
Библиографические ссылки
1. Туркенич Р. П., Курбатов Д. Е., Двирный В. В. Информационное обеспечение проектирования приборов космических аппаратов связи // Электронные и электромеханические системы и устройства : тез. докл. XVIII науч.-техн. конф. (22-23 апр. 2010, г. Томск). Томск : ООО «Печатная мануфактура», 2010.
2. Звежинский С. М. Эффективность информационного обеспечения научно-технических разработок. Львов : Вища школа, 1987.
3. Ловцов Д. А., Ермаков И. В. Защита информации от доступа по нетрадиционным информационным каналам // НТИ. 2006. № 9. С. 1-9.
4. Королева Н. А., Тютюнник В. М. Методика оценки уровня обеспечения информационной безопасности организации // НТИ. 2007. № 1. С. 15-17.
D. E. Kurbatov, M. E. Kurbatov, V. V. Dvirniy JSC «Academician M. F. Reshetnev «Information Satellite Systems», Russia, Zheleznogorsk
CONCERNING EFFICIENCY AND INFORMATIONAL PROTECTION IN THE COURSE OF PRODUCTS CREATION
Production complication, increase of requirements to its quality, a competition aggravation - here there are only some reasons on which manufacturers are compelled to reconsider the forms and ways of conducting the activity, change ofprotection problem aspects of the information in the field of informational supply.
© Курбатов Д. Е., Курбатов М. Е., Двирный В. В., 2010
УДК 004.056
В. Г. Миронова, А. А. Шелупанов Томский государственный университет систем управления и радиоэлектроники, Россия, Томск
ПРОВЕДЕНИЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ПРЕДПРОЕКТНОМ ОБСЛЕДОВАНИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Рассмотрен этап проведения аудита информационной безопасности при предпроектном обследовании информационных систем персональных данных. Предложен подход для минимизации ресурсов при создании системы защиты персональных данных.
Принятие Федерального закона № 152-ФЗ «О персональных данных» направлено на обеспечение защиты конституционных прав и свобод граждан Российской Федерации (РФ) и определило необходимость защиты данных граждан, сведения о которых обрабатываются в информационных системах персональных данных (ИСПДн). Согласно [1] информационные системы, обрабатывающие ПДн, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2011 года.
За невыполнение требований Закона «О персональных данных» предусмотрена административная и уголовная (в соответствии со статьями КоАП и УК РФ) ответственность. Ответственность может быть
наложена как на юридические (организации), так и на физические лица: рядовых сотрудников и руководителей предприятия. Деятельность организации (оператора) по обработке ПДн также может быть приостановлена по требованию Роскомнадзора.
В перечень мероприятий по приведению ИСПДн в соответствии с требованиями нормативно-методической документации и законодательства РФ по защите персональных данных (ПДн) включается:
- предпроектное обследование ИСПДн;
- проектирование системы защиты персональных данных (СЗПДн);
- ввод в действие СЗПДн.
Решетневские чтения
Этап предпроектного обследования ИСПДн является основой для создания адекватной СЗПДн и проведения последующих мероприятий, так как выбор и реализация методов и способов защиты информации в ИСПДн основываются на результатах, полученных при проведении предпроектного обследования. Поэтому этап предпроектного обследования является по существу этапом проведения аудита информационной безопасности.
Предпроектное обследование ИСПДн включает:
- классификацию ИСПДн;
- разработку организационно-распорядительной документации;
- определение исходной степени защищенности ИСПДн;
- разработку частной модели угроз безопасности ПДн;
- создание частного технического задания.
Классификация ИСПДн проводится согласно [2].
В результате ИСПДн присваивается определенный класс, и оформляется «Акт классификации информационной системы персональных данных» в соответствии с типовой формой. Классификация ИСПДн осуществляется для установления методов и способов защиты информации, чтобы обеспечить безопасность ПДн.
Базой для создания ИСПДн и ее системы защиты является организационно-распорядительная документация, составленная оператором ПДн, либо организацией - лицензиатом Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
Важным шагом предпроектного обследования является построение частной модели угроз безопасности ПДн, целью которой является выявление актуальных угроз безопасности ПДн при их обработке в ИСПДн [3]. Согласно [3; 4] выявляется исходная степень защищенности ИСПДн и строится частная модель угроз безопасности ПДн. Для этого рассматриваются эксплуатационные и технические характеристики. На основе модели угроз и будет создана СЗПДн. Кроме того, необходимо создавать и учитывать модели нарушителей безопасности ПДн согласно [4; 5].
На основе перечня актуальных угроз составляется частное техническое задание [5; 6], в котором отражаются основные критерии построения СЗПДн.
Автоматизированная система, реализованная авторами [7], позволяет оперативно проводить следующие
этапы предпроектного обследования ИСПДн: классификацию ИСПДн, определение исходной степени защищенности ИСПДн и построение частных моделей угроз безопасности.
Таким образом, при проведении предпроектного обследования - этапа аудита информационной безопасности, важно помнить, что полученный результат ляжет в основу будущей СЗПДн, обеспечивающей заданный уровень защищенности ПДн.
Авторами сформированы перечни угроз безопасности ПДн для специальных ИСПДн согласно [4; 5], а также рассмотрены возможные модели нарушители для ИСПДн в зависимости от структуры системы.
Библиографические ссылки
1. Российская Федерация. Законы. О персональных данных : федер. закон : утв. Президентом РФ 27 июля 2006 г., № 152-ФЗ. М., 2006.
2. Об утверждении порядка проведения классификации информационных систем персональных данных : приказ Федер. службы по техн. и экспорт. контролю, ФСБ РФ и М-ва информ. технол. и связи РФ от 13 февр. 2008 г. № 55/86/20 3. М., 2008.
3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных : утв. ФСТЭК от 15 февр. 2008 г. М., 2008.
4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных : утв. ФСТЭК России от 15 февр. 2008 г. М., 2008.
5. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных : приказ Федер. службы по техн. и эксперт. контролю РФ от 5 февр. 2010 г. № 58. М., 2010.
6. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации : утв. руковод. 8 Центра ФСБ России от 21 февр. 2008 г. № 149/5-144. М., 2008.
7. Шелупанов А. А., Миронова В. Г., Ерохин С. С. Автоматизированная система предпроектного обследования информационной системы персональных данных «АИСТ-П» // Вестник ТУСУР. 2010. Вып. 1(21). Ч. 1. С. 14-22.
V. G. Mironova, A. A Shelupanov Tomsk State University of Control Systems and Radioelectronics, Russia, Tomsk
ANALYSIS OF PREPROJECT SURVEY INFORMATION SYSTEM OF PERSONAL DATA STAGES
This research is devoted to auditing stage of information security during the pre-project examination ofpersonal data information systems. The approach for resource minimization to create a system of personal data protection is suggested.
© Миронова В. Г., Шелупанов А. А., 2010